GitHub je poročal o incidentu, v katerem je bil zasebni ključ RSA, ki se uporablja kot ključ gostitelja za dostop do repozitorijev GitHub prek SSH, pomotoma objavljen v javno dostopnem repozitoriju. Puščanje informacij je prizadelo samo ključ RSA; ključa SSH gostitelja ECDSA in Ed25519 ostajata varna. Razkriti ključ SSH gostitelja ne omogoča dostopa do infrastrukture GitHub ali uporabniških podatkov, vendar ga je mogoče uporabiti za prestrezanje operacij Gita, ki se izvajajo prek SSH.
Da bi preprečili morebitno ugrabitev sej SSH do GitHuba, če ključ RSA pade v roke napadalcev, je GitHub sprožil postopek prenosa ključa. Uporabniki morajo izbrisati stari javni ključ GitHuba (ssh-keygen -R github.com) ali ročno zamenjati ključ v datoteki ~/.ssh/known_hosts, kar bi lahko motilo samodejno izvajanje skriptov.
Vir: opennet.ru
